通过枚举网络中的共享目录进行传播的蠕虫病毒
病毒采用Delphi编写。
病毒运行后有以下行为:
一、将自己复制到"c:\windows\temp\"目录下,文件名为"ssshost.exe",并释放图片以迷惑用户。
二、查看系统当前所运行的进程中是否有包含以下字符串的进程,如果有则将它们结束:
pfw.exe
kvfw.exe
KAVPFW.EXE
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
taskmgr.exe
三、删除注册表中以下键值,导致与这些键值相关的反病毒软件无法自启动:
1.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\SKYNET Personal FireWall
2.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\iDuba Personal FireWall
3.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\iamapp
4.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\rfw
5.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\popproxy
6.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\RavMon
7.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\Run\RavTimer
8.HKEY_LOCAL_MACHINE\SoftWare\Microsoft\windows
\CurrentVersion\RunServices\RavMon
9.HKEY_CURRENT_USER\SoftWare\Microsoft\windows
\CurrentVersion\Run\KVFW
四、删除某些反病毒软件所在目录及其子目录的所有文件。
五、搜索".EXE"为扩展名为所有文件并将它感染,感染的方式是将被感染的文件插入病毒文件的尾部。
六、枚举网络中的共享目的,并试图将自己复制到这些目录下,文件名为"我的照片.exe"。
七、为其远程控制端提供远程控制服务。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-11-2
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
